<<< JPCERT/CC WEEKLY REPORT 2013-01-09 >>>
■12/23(日)〜01/05(土) のセキュリティ関連情報
目 次
【1】Microsoft Internet Explorer に脆弱性
【2】IBM SPSS Modeler の XML ドキュメントの構文解析に脆弱性
【3】Asterisk にサービス運用妨害 (DoS) の脆弱性
【4】情報セキュリティシンポジウム道後2013 参加者募集中
【今週のひとくちメモ】D.ROOT-SERVERS.NET の IP アドレス更新その後
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr130101.txt
https://www.jpcert.or.jp/wr/2013/wr130101.xml
【1】Microsoft Internet Explorer に脆弱性
情報源
US-CERT Vulnerability Note VU#154201
Microsoft Internet Explorer CButton use-after-free vulnerability
http://www.kb.cert.org/vuls/id/154201
概要
Microsoft Internet Explorer には脆弱性があります。結果として、遠隔の第 三者が細工した HTML ドキュメントや Office ファイル等を閲覧させることで 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Microsoft Internet Explorer 6 - Microsoft Internet Explorer 7 - Microsoft Internet Explorer 8 2013年1月8日現在、この問題に対するセキュリティ更新プログラムは提供され ていません。 回避策として、Fix it 50971 を適用したり、Enhanced Mitigation Experience Toolkit (EMET) を適用したりする方法があります。詳細について は、Microsoft が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92426910
Internet Explorer に任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU92426910/index.htmlマイクロソフト セキュリティ アドバイザリ (2794220)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://technet.microsoft.com/ja-JP/security/advisory/2794220マイクロソフト セキュリティ アドバイザリ
Internet Explorer の脆弱性により、情報漏えいが起こる
https://support.microsoft.com/kb/2794220/ja#FixItForMe
関連文書 (英語)
Microsoft Security Research & Defense
Microsoft "Fix it" available for Internet Explorer 6, 7, and 8
http://blogs.technet.com/b/srd/archive/2012/12/31/microsoft-quot-fix-it-quot-available-for-internet-explorer-6-7-and-8.aspx
【2】IBM SPSS Modeler の XML ドキュメントの構文解析に脆弱性
情報源
JC3 Bulletin
V-061: IBM SPSS Modeler XML Document Parsing Vulnerability
http://energy.gov/cio/articles/v-061-ibm-spss-modeler-xml-document-parsing-vulnerability
概要
IBM SPSS Modeler の XML ドキュメントの構文解析には、脆弱性があります。 結果として、第三者が機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - IBM SPSS Modeler バージョン 14 から 15.0 この問題は、IBM が提供する更新プログラムを IBM SPSS Modeler に適用する ことで解決します。詳細については、IBM が提供する情報を参照して下さい。
関連文書 (英語)
IBM Security Bulletin
IBM SPSS Modeler - XML (CVE-2012-5769)
http://www-01.ibm.com/support/docview.wss?uid=swg21620758IBM
PM79454; Vulnerability of an XML injection attack in IBM SPSS Modeler
http://www-01.ibm.com/support/docview.wss?uid=swg24034122
【3】Asterisk にサービス運用妨害 (DoS) の脆弱性
情報源
JC3 Bulletin
V-062: Asterisk Two Denial of Service Vulnerabilities
http://energy.gov/cio/articles/v-062-asterisk-two-denial-service-vulnerabilities
概要
Asterisk には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - バージョン 1.8.x、10.x および 11.x この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Asterisk を更新することで解決します。詳細については、Asterisk が提 供する情報を参照して下さい。
関連文書 (英語)
Asterisk
Asterisk Security Advisories
http://www.asterisk.org/downloads/security-advisories
【4】情報セキュリティシンポジウム道後2013 参加者募集中
情報源
情報セキュリティシンポジウム道後2013実行委員会
情報セキュリティシンポジウム道後2013
http://ehime-it.org/ssd/
概要
2013年2月28日(木)から愛媛県松山市にて、「情報セキュリティシンポジウム道 後2013」が開催されます。「知らないでは済まされない!! 今そこにある危機」 をテーマに、サイバー攻撃に対する通信業界の取り組みの紹介や法制度に関す る話題など、様々な講演が予定されています。JPCERT/CC はこのシンポジウム を後援しています。
関連文書 (日本語)
情報セキュリティシンポジウム道後2013実行委員会
情報セキュリティシンポジウム道後2013 |参加申し込み
http://ehime-it.org/ssd/index.php?option=com_content&view=article&id=134&Itemid=18
■今週のひとくちメモ
○D.ROOT-SERVERS.NET の IP アドレス更新その後
DNS ルートサーバのひとつである D.ROOT-SERVERS.NET の IP アドレスが、予 定通り 2013年1月3日に変更されました。旧 IP アドレスは 6ヶ月間は保持され る予定です。 DNS サーバを管理している方は、ルートヒントファイルを更新しましょう。
参考文献 (日本語)
JPRS
d.root-servers.net(D-Root)のIPアドレス変更に伴う設定変更について
http://jprs.jp/tech/notice/2013-01-07-d-root-ip-address-change.htmlJPCERT/CC WEEKLY REPORT 2012-12-15
【今週のひとくちメモ】D.ROOT-SERVERS.NET の IP アドレス更新
https://www.jpcert.or.jp/wr/2012/wr124901.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/